Βρέθηκε υλικολογισμικό Backdoor σε εκατομμύρια μητρικές κάρτες υπολογιστή
Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν όλο και περισσότερο μια δόλια τακτική αποκρύπτοντας κακόβουλα προγράμματα μέσα στο υλικολογισμικό UEFI ενός υπολογιστή - τον θεμελιώδη κώδικα που είναι υπεύθυνος για την εκκίνηση του λειτουργικού συστήματος. Ωστόσο, η κατάσταση γίνεται ακόμη πιο ανησυχητική όταν ένας κατασκευαστής μητρικής πλακέτας όχι μόνο περιλαμβάνει την κρυφή του κερκόπορτα στο υλικολογισμικό εκατομμυρίων υπολογιστών, αλλά αποτυγχάνει να ασφαλίσει σωστά αυτήν την είσοδο.
Πρόσφατα, μια ομάδα ερευνητών κυβερνοασφάλειας που ειδικεύεται στο υλικολογισμικό ανακάλυψε έναν κρυφό μηχανισμό ενσωματωμένο στο υλικολογισμικό των μητρικών που κατασκευάζονται από τη Gigabyte, μια διάσημη εταιρεία της Ταϊβάν που χρησιμοποιείται ευρέως σε υπολογιστές παιχνιδιών και υπολογιστές υψηλής απόδοσης. Κατά την επανεκκίνηση ενός υπολογιστή με την επηρεασμένη μητρική πλακέτα Gigabyte, ο κρυφός κώδικας μέσα στο υλικολογισμικό ενεργοποιεί διακριτικά ένα πρόγραμμα ενημέρωσης στον υπολογιστή. Στη συνέχεια, αυτό το πρόγραμμα πραγματοποιεί λήψη και εκτέλεση άλλου λογισμικού χωρίς τη γνώση ή τη συγκατάθεση του χρήστη.
Πίνακας περιεχομένων
Οι προθέσεις καλές, η εφαρμογή όχι τόσο πολύ
Ενώ ο κρυφός κώδικας που ανακαλύφθηκε στο υλικολογισμικό της μητρικής κάρτας Gigabyte προοριζόταν πιθανώς ως ένα αβλαβές εργαλείο για ενημερώσεις υλικολογισμικού, οι ερευνητές έχουν εντοπίσει σημαντικά ελαττώματα ασφαλείας στην εφαρμογή του. Αυτά τα τρωτά σημεία δημιουργούν έναν πιθανό κίνδυνο κακόβουλων παραγόντων να εκμεταλλευτούν τον μηχανισμό, οι οποίοι θα μπορούσαν να τον χρησιμοποιήσουν για να εγκαταστήσουν κακόβουλο λογισμικό αντί του προβλεπόμενου προγράμματος Gigabyte.
Το πρόβλημα επιδεινώνεται από το γεγονός ότι το πρόγραμμα ενημέρωσης εκκινείται από το υλικολογισμικό του υπολογιστή, που λειτουργεί εκτός της σφαίρας του λειτουργικού συστήματος του χρήστη. Αυτό καθιστά απίστευτα δύσκολο για τους χρήστες να εντοπίσουν ή να αφαιρέσουν τον προβληματικό κώδικα, επιδεινώνοντας περαιτέρω τον πιθανό αντίκτυπο της ευπάθειας ασφαλείας.
Περιλαμβάνονται περισσότερα από 270 μοντέλα
Για να δείτε εάν η μητρική πλακέτα του υπολογιστή σας περιέχει την εν λόγω κερκόπορτα, μεταβείτε στην επιλογή "Έναρξη" στα Windows και αποκτήστε πρόσβαση στις "Πληροφορίες συστήματος".
Κατά τη διερεύνηση κακόβουλου κώδικα που βασίζεται σε υλικολογισμικό, οι ερευνητές έκαναν μια σημαντική ανακάλυψη σχετικά με τον κρυφό μηχανισμό υλικολογισμικού της Gigabyte. Αυτό το εύρημα είναι ιδιαίτερα αξιοσημείωτο καθώς οι εξελιγμένοι χάκερ χρησιμοποιούν συχνά παρόμοιες τακτικές. Παραδόξως, οι αυτοματοποιημένες σαρώσεις ανίχνευσης των ερευνητών επισήμαναν τον μηχανισμό ενημέρωσης της Gigabyte για εμπλοκή σε ύποπτες δραστηριότητες που θυμίζουν εργαλεία hacking που χρηματοδοτούνται από το κράτος. Συγκεκριμένα, περιλάμβανε απόκρυψη μέσα στο υλικολογισμικό και αθόρυβη εκτέλεση ενός προγράμματος που κατεβάζει κώδικα από το διαδίκτυο.
Ο μηχανισμός ενημέρωσης της Gigabyte από μόνος του έχει πυροδοτήσει ανησυχίες μεταξύ των χρηστών που ανησυχούν για την προοπτική εγκατάστασης αθόρυβου κώδικα μέσω ενός σχεδόν ανεπαίσθητου εργαλείου. Επιπλέον, υπάρχει πραγματικός φόβος ότι ο μηχανισμός της Gigabyte θα μπορούσε να πέσει θύμα εκμετάλλευσης από χάκερ που διεισδύουν στον κατασκευαστή της μητρικής πλακέτας, αξιοποιώντας την κρυφή πρόσβασή του για μια κακόβουλη επίθεση στην αλυσίδα εφοδιασμού λογισμικού. Ωστόσο, η έρευνα του Eclypsium έφερε στο φως μια ακόμη πιο ανησυχητική αποκάλυψη. Ο μηχανισμός ενημέρωσης, που έχει σχεδιαστεί για να βελτιώνει την εμπειρία του χρήστη, περιέχει κραυγαλέες ευπάθειες που έχουν τη δυνατότητα να υποστούν κακόβουλη πειρατεία. Συγκλονιστικό είναι ότι κατεβάζει κώδικα στο μηχάνημα του χρήστη χωρίς να υποβληθεί σε κατάλληλο έλεγχο ταυτότητας και σε ορισμένες περιπτώσεις, χρησιμοποιεί ακόμη και μια ανασφαλή σύνδεση HTTP αντί για το πιο ασφαλές HTTPS.
Αυτό το κενό κενό ασφαλείας επιτρέπει σε κακόβουλους ηθοποιούς να ενορχηστρώνουν επιθέσεις «man-in-the-middle», επιτρέποντάς τους να εξαπατήσουν ανυποψίαστους χρήστες πλαστογραφώντας την πηγή εγκατάστασης. Στην ουσία, ακόμη και ένα αδίστακτο δίκτυο Wi-Fi θα μπορούσε να γίνει όργανο κινδύνου, παρεμποδίζοντας τη σύνδεση του χρήστη στο Διαδίκτυο και θέτοντας σε κίνδυνο την ακεραιότητα του συστήματός του.
Σε άλλες περιπτώσεις, ο μηχανισμός υλικολογισμικού της Gigabyte επιτρέπει στο πρόγραμμα ενημέρωσης να ανακτά λήψεις από μια συσκευή αποθήκευσης συνδεδεμένη στο τοπικό δίκτυο (NAS). Αυτή η δυνατότητα, που φαινομενικά στοχεύει στη διευκόλυνση των ενημερώσεων εντός των επιχειρηματικών δικτύων, αποφεύγει την εκτεταμένη πρόσβαση στο Διαδίκτυο από όλα τα μηχανήματα. Ωστόσο, όταν συμβεί αυτό, ένας κακόβουλος παράγοντας στο ίδιο δίκτυο μπορεί να χειραγωγήσει με δόλο την τοποθεσία NAS, αντικαθιστώντας κρυφά τις εξουσιοδοτημένες ενημερώσεις με το δικό του κακόβουλο λογισμικό.
Μια επιδιόρθωση μπορεί να λειτουργήσει ... ή όχι;
Παρά τις πιθανές προσπάθειες της Gigabyte να αντιμετωπίσει το ζήτημα του υλικολογισμικού, οι ενημερώσεις υλικολογισμικού συχνά τερματίζονται σιωπηλά στα μηχανήματα των χρηστών λόγω της περίπλοκης φύσης της διαδικασίας και της πρόκλησης της ευθυγράμμισης του υλικολογισμικού με το υλικό. Αυτή η αποκάλυψη είναι βαθιά ανησυχητική, λαμβάνοντας υπόψη τον τεράστιο αριθμό συσκευών που θα μπορούσαν να επηρεαστούν. Ενώ η Gigabyte πιθανότατα δεν είχε κακόβουλες ή δόλιες προθέσεις με το κρυφό εργαλείο υλικολογισμικού της, τα τρωτά σημεία ασφαλείας στον κρυφό κώδικα κάτω από το λειτουργικό σύστημα υπονομεύουν τη θεμελιώδη εμπιστοσύνη των χρηστών στους υπολογιστές τους.